我有一个在PythonPaste中运行的WSGI应用程序。我注意到默认的'Server'标头泄漏了大量信息(“Server:PasteWSGIServer / 0.5 Python / 2.6”)。
我的膝跳反应是改变它...但我很好奇其他人的想法。
服务器标头中是否有任何实用程序,或者删除它有什么好处?我是否会对提供基础设施信息感到不舒服?
由于
答案 0 :(得分:2)
“通过晦涩安全”从来都不是最好的做法;您的设备应该能够保持完整性,以抵御对您的设置有广泛了解的攻击者(禁止密码,控制台访问等)。无法真正阻止DDOS或类似的东西,但你不必担心人们发现你的操作系统版本等。
但是,无需免费赠送信息。捏造标题可能会阻止一些攻击者,并且在这样的情况下,如果您运行的应用程序可能已经出现已知漏洞,那么在不通告您运行它的情况下会有很多好处。
我说改变它。在内部,你不应该看到很多好处,如果你改变它,外部你有机会看到好处。
答案 1 :(得分:1)
根据我在日志文件中找到的请求(比如Apache日志中对IIS特定的错误的请求,我确信IIS服务器日志也会显示特定于Apache的请求),那里有很多机器人根本不关心任何这样的标题。我想现在几乎所有东西都是蛮力。
(实际上,例如我已经设置了很多Tomcat坐在IIS后面的实例,我想我也不会考虑头文件,如果我试图破解我的方式进入某个服务器。 )
最重要的是:在使用免费软件时,我觉得给予制作者一些信用是合适的 in statistics。
答案 2 :(得分:0)
屏蔽您的版本号是一项非常重要的安全措施。您不希望向攻击者提供有关您正在运行的软件的任何信息。此安全功能在mod_security中可用,即Apache的开源Web应用程序防火墙: http://www.modsecurity.org/
将此行添加到mod_security配置文件中:
SecServerSignature "IIS/6.0"